Aggregator DexibleApp به قیمت 2 میلیون دلار از طریق عملکرد “selfSwap” هک شد

بر اساس گزارش 17 فوریه پس از مرگ که توسط این تیم در سرور رسمی Discord این پروژه منتشر شد، تجمیع کننده صرافی چند زنجیره ای DexibleApp مورد سوء استفاده قرار گرفت و در نتیجه 2 میلیون دلار ارز دیجیتال از دست رفت.

از ساعت 6:35 بعد از ظهر UTC در تاریخ 17 فوریه، صفحه اصلی DexibleApp هر زمان که کاربران به سمت آن حرکت کنند، یک پنجره هشدار درباره هک نشان می دهد.

در ساعت 6:17 صبح UTC، تیم گزارش داد که “یک هک احتمالی در قراردادهای Dexible v2” را کشف کرده اند و در حال بررسی این موضوع هستند. تقریباً نه ساعت بعد، آنها بیانیه دومی را منتشر کردند که «اکنون می‌دانند 2,047,635.17 دلار از 17 آدرس معامله‌گر مورد سوء استفاده قرار گرفته است. 4 در شبکه اصلی، 13 در arbitrum.

یک گزارش پس از مرگ در ساعت 4 بعد از ظهر UTC به عنوان یک فایل pdf منتشر شد و در Discord منتشر شد، و تیم گفت که “به طور فعال روی یک طرح اصلاح کار می کند.”

در این گزارش، تیم اعلام کرد که وقتی یکی از بنیانگذارانش به دلایلی که در آن زمان نامشخص بود، ارز دیجیتالی به ارزش 50000 دلار را از کیف پولش خارج کرد، متوجه شد که مشکلی وجود دارد. پس از بررسی، تیم متوجه شد که یک مهاجم از عملکرد selfSwap اپلیکیشن برای انتقال بیش از ۲ میلیون دلار رمزنگاری از کاربرانی که قبلاً به برنامه اجازه انتقال توکن‌های خود را داده بودند، استفاده کرده است.

تابع selfSwap به کاربران این امکان را می‌دهد تا آدرس روتر و داده‌های تماس مرتبط با آن را برای تعویض یک توکن با توکن دیگر ارائه کنند. با این حال، هیچ لیستی از روترهای از پیش تأیید شده در کد نوشته نشده بود. بنابراین، مهاجم از این تابع برای هدایت یک تراکنش از Dexible به هر قرارداد توکن استفاده کرد و توکن‌های کاربران را از کیف پول خود به قرارداد هوشمند مهاجم منتقل کرد. از آنجایی که این تراکنش‌های مخرب از Dexible می‌آمدند، که کاربران قبلاً مجاز به خرج کردن توکن‌های خود بودند، قراردادهای توکن تراکنش‌ها را مسدود نکردند.

مربوط: اینفلوئنسر NFT قربانی حمله سایبری می شود و 300 هزار دلار CryptoPunks را از دست می دهد

مهاجم پس از دریافت توکن‌ها در قرارداد هوشمند خود، سکه‌ها را از طریق نقدینگی تورنادو به بایننس کوین ناشناخته برداشت کرد.BNB) کیف پول

Dexible قراردادهای خود را متوقف کرده و از کاربران خواسته است تا مجوزهای توکن را برای آنها لغو کنند.

رویه متداول مجاز کردن تأییدیه‌های توکن برای مقادیر زیاد، گاهی اوقات به ضرر کاربران کریپتو به دلیل قراردادهای باگ یا مخرب آشکار منجر می‌شود و برخی از کارشناسان را به هشدار به کاربران سوق می‌دهد. لغو تاییدیه ها به طور منظم. قسمت‌های جلویی اکثر برنامه‌های Web3 به طور مستقیم به کاربران اجازه نمی‌دهند تا میزان توکن‌های تأیید شده را ویرایش کنند، بنابراین اگر برنامه‌ای دارای نقص امنیتی باشد، کاربران اغلب تعادل کامل توکن‌های خود را از دست می‌دهند. Metamask و کیف پول های دیگر سعی کرده اند این مشکل را با اجازه دادن به کاربران برطرف کنند ویرایش کنید تاییدات توکن در مرحله تایید کیف پول. اما بسیاری از کاربران کریپتو هنوز از خطر عدم استفاده از این ویژگی آگاه نیستند.